弁護士 金井高志の「もう一度チェック! あなたの個人情報保護法理解度」

第5回 個人情報漏洩事件を起こしたら誰の責任か

漏洩者の個人情報漏洩対象となった個人に対する責任

漏洩者自身は、被害者である本人から不法行為に基づく損害賠償請求を受ける可能性があります。
真っ先に責任を問われるべきは、漏洩者自身です。
漏洩者は、漏洩した個人情報の内容および漏洩の原因次第では、漏洩された個人情報の対象者のプライバシーの権利を侵害したとして、被害者であるその対象者本人から不法行為に基づく損害賠償請求を受ける可能性があります。
また、その人の名誉を著しく傷つけたり、その人の業務を妨害したりした場合には、名誉毀損罪や業務妨害罪が成立する場合もあります。

漏洩者の個人情報の保有者である企業に対する責任

企業に対して、損害賠償請求、窃盗罪、横領罪、不正アクセス罪などの民事・刑事責任が生じる場合があります。
洩漏された個人情報が企業の保有・管理する情報である場合、それらの個人情報はその企業の「営業秘密」にあたることがあります。
その場合、漏洩者は、営業秘密を漏洩された被害者である企業から、企業の営業秘密を保護する法律である不正競争防止法や民法の不法行為の規定に基づいて損害賠償請求などを受けることになります。
また、漏洩者がその企業の従業員である場合には、雇用契約違反や就業規則違反に基づく損害賠償責任を追及されたり、あるいは懲戒等の処分を受けたりすることも考えられます。
また、漏洩者の行為が、個人情報を記録した媒体(記録メディア)を取得することで個人情報を漏洩したような場合、窃盗罪、横領罪、もしくは業務上横領罪が成立し、また、アクセス制御がなされているコンピュータに不正アクセスして個人情報を取得したような場合、不正アクセス罪等が成立し、刑事責任が生じる場合もあります。

個人情報漏洩事件が発生した場合の企業の個人に対する責任

従業員、委託先が漏洩事件を起こしたとしても、企業自体が責任を問われるということを十分に認識しなければなりません。
企業の保有・管理する個人情報の漏洩事件が発生した場合、漏洩者のみならず、企業もその個人情報の対象である個人から責任を問われることになりますが、企業の責任の内容について、漏洩者がその企業の内部者である場合と外部者である場合とに分けて見ていきたいと思います。
企業の内部者による漏洩の場合
漏洩者が企業の従業員である場合、その企業は、従業員や業務委託先が行った第三者に対する加害行為について企業自体が責任を負うことを定めている民法715条に基づき「使用者責任」を問われることになります。
また、情報を漏洩された個人と企業との間になんらかの契約関係があり、その契約により個人が個人情報を企業に提供していたような場合には、その企業は、契約違反に基づく損害賠償等を請求される可能性があります。
また、企業が個人情報保護法で規定されている5,000人分を超える個人情報を保有・管理している「個人情報取扱事業者」である場合は、個人情報保護法第21条に基づく従業者に対する監督責任違反を問われることになり、主務大臣による報告徴収、助言、勧告、命令の対象となり、命令等に違反した場合には、罰則規定により6ヶ月以下の懲役または30万円以下の罰金に処せられることになります。
企業の外部者による漏洩の場合
外部者による個人情報の漏洩事件としては、泥棒やハッカーによる不正アクセスによる場合のほか、取引先や業務委託先の従業員等による漏洩などがありますが、このような場合、被害者である企業が前述の個人情報取扱事業者であるときは、その企業は、個人情報保護法第20条の規定に基づく安全管理措置義務違反、あるいは個人情報保護法第22条の規定に基づく委託先の監督義務違反の責任を問われることになります。
また、個人情報取扱事業者であるか否かに関わらず、民法上の不法行為責任や契約上の責任を問われる可能性もあります。
この点、再委託先のアルバイトによる情報漏洩について委託元に民法715条に基づく損害賠償責任が認められた宇治市のケースはあまりにも有名です。また、取引先等から個人情報の提供を受ける場合、契約上でその個人情報に対する管理責任が明記されることが最近では増えています。
企業は常に責任を問われることになる!
以上のように、個人情報が漏洩された場合、漏洩者自身が責任を追及されることはもちろんのこと、漏洩された個人情報を保管・管理していた企業も、漏洩者が内部の者であると否とを問わず責任を問われることになります。
また、実際には、漏洩者が特定できるケースが稀であること、たとえ漏洩者が特定されても、その者に賠償責任を履行できるほどの資力がないことなどを理由として、漏洩者自身に対して法的な責任追及がなされるよりも、企業に対して賠償責任が追及されるケースがほとんどです。ですから、企業は、個人情報漏洩事件が発生した場合には企業自体が責任を問われるということを十分に認識して、個人情報の安全管理に努めることが必要です。
フランテック法律事務所
弁護士 金井高志
認定プライバシーコンサルタント 毎熊典子